國華

計算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)作為一種信息技術(shù)，是保證數(shù)據(jù)安全的技術(shù)。本文主要以入侵檢測技術(shù)的相關(guān)認(rèn)識作為切入點(diǎn)，研究和分析入侵檢測技術(shù)相關(guān)模式。

【關(guān)鍵詞】計算機(jī)數(shù)據(jù)庫 層次化 入侵檢測 模型入侵檢測 技術(shù)探析

美國國家安全通信委員會下屬的入侵檢測小組在1997年給出的關(guān)于“入侵檢測”的定義為：入侵檢測是對企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。入侵檢測是信息安全技術(shù)手段之一，是檢測內(nèi)外部入侵行為的關(guān)鍵技術(shù)，主要依賴于能執(zhí)行入侵檢測任務(wù)和功能的系統(tǒng)。

1 入侵檢測技術(shù)的相關(guān)認(rèn)識

入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。當(dāng)下的入侵檢測系統(tǒng)主要有兩種，一種是基于主機(jī)的入侵監(jiān)測系統(tǒng)，另一種是基于網(wǎng)絡(luò)的入侵檢測系，兩種方式都是用于保護(hù)網(wǎng)絡(luò)系統(tǒng)不受破壞。入侵檢測的方式也有兩種，一種是誤用檢測，對不正常的行為建模，符合特征庫中描述的行為就被視力攻擊。另一種是異常檢測，對系統(tǒng)的正常的行為建模，若是行為建模存在一定的異常，則表現(xiàn)為該系統(tǒng)遭受攻擊或者懷疑攻擊。入侵檢測系統(tǒng)的主要是由采集模塊、分析模塊和、管理模塊三個部分組成。采集模塊主要是由數(shù)據(jù)搜集，并將這些數(shù)據(jù)放入系統(tǒng)中進(jìn)行分析。分析模塊主要是對相應(yīng)的數(shù)據(jù)進(jìn)行分析，從而給出相應(yīng)的判斷和相應(yīng)的懷疑值。管理模塊主要是根據(jù)分析的結(jié)果，系統(tǒng)自動對相應(yīng)的問題進(jìn)行決策。當(dāng)然，入侵檢測系統(tǒng)中還有其他模塊，諸如通信模塊、響應(yīng)模塊和數(shù)據(jù)存儲模塊等，從而保證系統(tǒng)的效率和作用。

2 入侵檢測技術(shù)相關(guān)模式

2.1 通用入侵檢測模式

隨著時代的發(fā)展，人們對于電腦系統(tǒng)的安全性問題越來越關(guān)注。CIDF作為一種通用性的入侵檢測方式，是由美國計算機(jī)科學(xué)家Stuart Stanifor-Chen等人提出來的，這種技術(shù)非常具有實(shí)用性，主要是由響應(yīng)單元、事件數(shù)據(jù)庫、事件分析器、事件產(chǎn)生器組成。如見圖1。各個組件之間主要是以入侵檢測對象GIDO來實(shí)施CIDF消息數(shù)據(jù)的交互，CIDF一般是將IDS所需要分析的數(shù)據(jù)都統(tǒng)稱為事件，事件既可以是系統(tǒng)日志，也可以是網(wǎng)絡(luò)數(shù)據(jù)包。其形成的事件數(shù)據(jù)庫既可以表現(xiàn)為簡單的文本，也可能是復(fù)雜的數(shù)據(jù)庫，是各種數(shù)據(jù)之間進(jìn)行聯(lián)系的關(guān)鍵系統(tǒng)。響應(yīng)單元雖然是簡單的報警系統(tǒng)，還能改變文件屬性，做出數(shù)據(jù)切斷反應(yīng)，屬于功能單元，主要是針對分析結(jié)果作出相應(yīng)的反應(yīng)。事件產(chǎn)生器是整個事件的起源指出，能夠向其他部分提供相應(yīng)的事件信息，保證整個系統(tǒng)中能夠獲取這種事件信息。事件分析器是以事件信息作為基礎(chǔ)，分析和研究事件產(chǎn)生器的數(shù)據(jù)，同時準(zhǔn)確地獲取相關(guān)結(jié)果。在當(dāng)下環(huán)境中，相關(guān)的計算機(jī)數(shù)據(jù)庫入侵檢測產(chǎn)品大多數(shù)是以CIDF模型作為基礎(chǔ)，而CIDF模型仍是隨著數(shù)據(jù)安全的問題的出現(xiàn)不斷發(fā)展和進(jìn)步的，可見，CIDF模型已是也入侵檢測系統(tǒng)的重要模型，如圖1所示。

2.2 層次化入侵檢測模型

這項模型是由Steven等人提出來的，屬于一種基于層次化的入侵檢測模型，將入侵檢測系統(tǒng)分為上下文層、安全狀態(tài)層、事件層、威脅層、主體層、數(shù)據(jù)層。IDM模型給出了全部安全假設(shè)過程，從被監(jiān)側(cè)環(huán)境到高層次的有關(guān)入侵，而不是過去那種分散的原始數(shù)據(jù)。通過將收集的相關(guān)數(shù)據(jù)加以加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，虛擬出了一臺由主機(jī)和網(wǎng)絡(luò)構(gòu)成的機(jī)器環(huán)境，從而大大簡化了對跨越單機(jī)的入侵行為的識別。數(shù)據(jù)層中，追要包含三方面的數(shù)據(jù)，分別是局域網(wǎng)監(jiān)視器結(jié)果、主機(jī)操作系統(tǒng)的審計記錄、第三方的審計軟件提供的數(shù)據(jù)。事件層主要是時間變化的固有特征和動態(tài)特征，例如帶臺的會話、進(jìn)程執(zhí)行等。主體層主要是識別網(wǎng)絡(luò)中跨越多臺主機(jī)使用的用戶。上下層是說明時間發(fā)生的所處在的環(huán)境。威脅層是根據(jù)濫用的特征和對象而形成的攻擊行為、誤用行為等。安全狀態(tài)層是以1-100之間的某個數(shù)值來表示網(wǎng)絡(luò)安全狀態(tài)，數(shù)值越大表示越不安全。

2.3 管理式入侵檢測模型

SNMP-IDSM是以SNMP作為公共語言來實(shí)現(xiàn)IDS之間進(jìn)行相應(yīng)的信息交換和協(xié)同檢測，主要是由于描述入侵事件的管理信息庫，能夠明確抽象事件和原始事件之間的復(fù)雜關(guān)系。IDSB主要是對最新的IDS事件和監(jiān)視主機(jī)B進(jìn)行請求操作，若是主機(jī)IDSA檢測到監(jiān)視主機(jī)出現(xiàn)相應(yīng)的攻擊行為，那么IDSB和IDSA兩者之間能夠很快地進(jìn)行聯(lián)系IDSA發(fā)送相應(yīng)的請求，在較短的時間內(nèi)會得到IDSB的響應(yīng)，從而有效地驗(yàn)證和尋找攻擊的來源。同時，IDSA會以MID腳本作為依據(jù)，迅速給IDSB發(fā)送有用的代碼，以這些代碼的形式對快速搜集用戶活動。最后，以這些代碼的執(zhí)行結(jié)果進(jìn)一步確定入侵行為的主機(jī)所在位置的，IDSA就馬上和IDSC聯(lián)系，讓IDSC報告入侵事件，有效避免入侵事件的發(fā)生。

3 結(jié)語

入侵檢測技術(shù)是保證信息系統(tǒng)安全的關(guān)鍵技術(shù)，盡管入侵檢測技術(shù)發(fā)展比較晚，始于上個世紀(jì)80年代，屬于一種新型技術(shù)，但是由于電腦技術(shù)的不斷發(fā)展，新型的數(shù)據(jù)庫問題層次不窮，因而研究和分析入侵檢測技術(shù)顯得至關(guān)重要。

參看文獻(xiàn)

[1]雷利香.計算機(jī)數(shù)據(jù)庫的入侵檢測技術(shù)探析[J].科技傳播，2015，14（12）：202+211.

[2]葉碧野.計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)探析[J].電腦知識與技術(shù)，2012，05（21）：1012-1014.

[3]苗斌.計算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)研究[J].計算機(jī)光盤軟件與應(yīng)用，2014，06（06）：192+194.

作者單位

四川托普信息技術(shù)職業(yè)學(xué)院計算機(jī)系 四川省成都市 611743